Réseaux sociaux et Entreprise. Quels enjeux et quels risques? FAQ. Une étude menée avec

Transcription

1 Réseaux sociaux et Entreprise Quels enjeux et quels risques? FAQ Une étude menée avec 1

2 Propriété intellectuelle du Forum des Compétences Tous droits de reproduction, d adaptation et de traduction réservés. Dépôt légal chez Logitas Janvier

3 1. Pourquoi cette Foire aux Questions? Dans la thématique "Vie professionnelle et vie privée en entreprise", les réseaux sociaux occupent une place croissante, qu'il s'agisse des réseaux sociaux accessibles au public (personnels ou professionnels) ou, de plus en plus souvent, de réseaux sociaux internes dits réseaux sociaux d'entreprise (RSE). Ils soulèvent des interrogations qui se trouvent souvent à la croisée du droit et de la sécurité de l'information. Nous nous proposons donc d offrir des éléments de réponse aux questions les plus fréquemment posées concernant plus particulièrement, dans une première partie, les réseaux sociaux accessibles au public (LinkedIn, Viadeo, Facebook, etc.) et, dans une seconde partie, les réseaux sociaux d entreprise ou RSE. La seconde partie de cette Foire Aux Questions, non-exhaustive, est plus particulièrement destinée à mettre en avant les principaux éléments de réponse aux questions que chaque acteur de la mise en place du Réseau social dans l entreprise est susceptible de se poser. Les arbitrages entourant la mise en place d un RSE pourront dès lors être rendus en pleine connaissance de cause. Les réponses apportées ont été conçues afin d être auto-suffisantes. Par conséquent, la navigation du lecteur dans cette FAQ ne devrait nécessiter que peu, voire pas de renvois. Pour cette raison, certains développements peuvent paraître quelque peu redondants. Questions / Réponses relatives aux réseaux sociaux externes, à orientation professionnelle (LinkedIn, Viadeo, etc.) ou privée (Facebook, etc.) 2. Est-ce que les collaborateurs internes exerçant une fonction de contrôle ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux «professionnels» (LinkedIn, Viadeo)? Les hypothèses sont nombreuses où les collaborateurs exerçant une fonction de contrôle (inspection, audit, conformité, etc.) peuvent être amenés à rechercher des informations sur les réseaux sociaux, y compris privés, par exemple dans le cas de la préservation de la e- reputation de l entreprise et dans le strict cadre de leur mission. Il en sera notamment ainsi quand l entreprise investiguera sur une fuite d information sensible ou encore une mise en cause de son image opérée depuis les réseaux sociaux (diffamation envers ses produits ou services, etc.). Concernant des informations qui seraient préjudiciables à l entreprise, il convient de garder en tête que la jurisprudence considère ces réseaux sociaux comme des «hébergeurs» lorsqu ils abritent le contenu des utilisateurs. En conséquence, dans bien des cas, il sera possible d obtenir le retrait des informations lorsque celles-ci pourront être considérées comme manifestement illicites (art. 6 LCEN), indépendamment de toutes les possibilités d action offertes par le droit de la presse (loi de 1881 réprimant la diffamation, l injure, etc.) ou encore le droit pénal (recel, escroquerie, contrefaçon de marque, etc. mise en ligne de données permettant un piratage informatique, etc.). La problématique de la preuve des contenus allégués est essentielle lors d une action au plan civil, étant entendu que l éventuel constat d huissier opéré doit respecter des modalités particulières (cf. norme AFNOR NF Z «Mode opératoire de procès-verbal de constat sur internet effectué par un Huissier de justice») et que l huissier ne pourra dissimuler sa qualité, donc a priori accéder à des cercles fermés d utilisateurs. 3

4 Par ailleurs, les collaborateurs exerçant une fonction de contrôle (inspection, audit, conformité, etc.) peuvent effectivement exploiter des données concernant un salarié, récoltées sur les réseaux sociaux professionnels, mais sous réserve : - de demeurer dans le cadre de leurs missions de contrôle et dans les limites posées par les conditions de ce contrôle (proportionnalité, transparence et plus largement respect des formalités préalables éventuelles CNIL, règlement intérieur, etc.). Ainsi, les contrôles exercés doivent notamment se fonder sur une approche générale, statistique et anonyme de nature à révéler un manquement ou une alerte de sécurité par exemple, qui justifiera alors un contrôle nominatif ; - que ces données soient directement liées à l activité professionnelle dudit salarié ou qu elles créent au minimum un trouble caractérisé au sein de l entreprise. Dans le cas d un réseau «professionnel» et de l objectif poursuivi en général par la mise en ligne d un profil, il pourra être plus facile de voir cette réserve levée en pratique ; - que ces données aient été rendues accessibles à un large public ou au minimum à un cercle plus élargi que des individus reliés par une communauté d intérêts (où l on parlera alors de caractère privé des échanges) 1. Dans le cas d un réseau «professionnel» et des fonctionnalités qu il offre, il pourra être plus facile de voir cette réserve levée en pratique ; - que, dans l hypothèse où des propos ou des actes lui seraient reprochés, la preuve de leur imputabilité à ce salarié soit rapportée. 3. Est-ce que les collaborateurs internes exerçant une fonction de contrôle ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux «privés» (Facebook)? Les hypothèses sont nombreuses où les collaborateurs exerçant une fonction de contrôle (inspection, audit, conformité, etc.) peuvent être amenés à rechercher des informations sur les réseaux sociaux, y compris privés, par exemple dans le cas de la préservation de la e- reputation de l entreprise et dans le strict cadre de leur mission. Il en sera notamment ainsi quand l entreprise investiguera sur une fuite d information sensible ou encore une mise en cause de son image opérée depuis les réseaux sociaux de type Facebook par exemple (diffamation envers ses produits ou services, etc.). Concernant des informations qui seraient préjudiciables à l entreprise, il convient de garder en tête que la jurisprudence considère ces réseaux sociaux comme des «hébergeurs» lorsqu ils abritent le contenu des utilisateurs. En conséquence, dans bien des cas, il sera possible d obtenir le retrait des informations lorsque celles-ci pourront être considérées comme manifestement illicites (art. 6 LCEN), indépendamment de toutes les possibilités d action offertes par le droit de la presse (loi de 1881 réprimant la diffamation, l injure, etc.) ou encore le droit pénal (recel, escroquerie, contrefaçon de marque, etc. mise en ligne de données permettant un piratage informatique, etc.). La problématique de la preuve des contenus allégués est alors essentielle lors d une action au plan civil, étant entendu que l éventuel constat d huissier opéré doit respecter des modalités particulières (cf. norme AFNOR NF Z «Mode opératoire de procès-verbal de constat sur internet effectué par un Huissier de justice») et que l huissier ne pourra dissimuler sa qualité, donc a priori accéder à des cercles fermés d utilisateurs. Par ailleurs, les collaborateurs exerçant une fonction de contrôle (inspection, audit, conformité, etc.) peuvent parfois exploiter des données concernant un salarié, récoltées sur 1 En effet, dans un cadre plus privé, se pose la problématique de la connaissance licite des faits allégués. 4

5 les réseaux sociaux privés, mais les situations de fait rendent en pratique cette exploitation plus complexe et beaucoup plus encadrée : le caractère privé d une information ne s opposera pas forcément à son utilisation à l encontre du collaborateur, mais se posera la question essentielle des conditions dans lesquelles l employeur a pu prendre connaissance d informations dont la diffusion a pu être plus ou moins restreinte. L appréciation au cas par cas demeurera la règle. Il faudra en effet que les collaborateurs exerçant une fonction de contrôle respectent certaines obligations : - qu ils demeurent dans le cadre de leurs missions de contrôle et dans les limites posées par les conditions de ce contrôle (proportionnalité, transparence et plus largement respect des formalités préalables éventuelles CNIL, règlement intérieur, etc.). Ainsi, les contrôles exercés doivent notamment se fonder sur une approche générale, statistique et anonyme de nature à révéler un manquement ou une alerte de sécurité par exemple, qui justifiera alors un contrôle nominatif ; - que ces données soient directement liées à l activité professionnelle dudit salarié ou que leur publication crée un trouble caractérisé au sein de l entreprise. Dans le cas d un réseau «privé» et considérant le type de contenus ou de propos tenus, il pourra être plus difficile de voir cette réserve levée en pratique, l appréciation de ce facteur risquant d être complexe ; - que ces données aient été rendues accessibles à un large public ou, en tout cas, plus large que des membres reliés par une communauté d intérêts, ce qui exclut bien souvent les réseaux ou communautés «privés». Reste que les paramètres de confidentialité «protégeant» l accès aux contenus peuvent parfois échapper au contrôle de l émetteur originel en reposant en réalité sur ses «amis» (ex : Facebook). Dans ce cas, la non-maîtrise de la diffusion peut conduire à la connaissance et à l exploitation des propos par l employeur contre le salarié (Conseil de prud'hommes de Boulogne-Billancourt, 19 novembre 2010, RG : F ) ; - que, dans l hypothèse où des propos ou des actes lui seraient reprochés, la preuve de leur imputabilité à ce salarié soit rapportée. Cette preuve peut s avérer plus facile à collecter et à produire dans l hypothèse d un profil de type Facebook que, paradoxalement, dans le cadre du système d information de l employeur : les informations privées pouvant être mises en ligne par le titulaire du compte (souvent très nombreuses), ainsi que les logs de connexion, permettent bien souvent de faciliter cette preuve. 4. Est-ce que les membres de la DRH ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux «professionnels» (LinkedIn, Viadeo) concernant un candidat? De façon générale, la jurisprudence reconnaît à l employeur et donc au service RH le droit de «s informer préalablement à la conclusion du contrat des réelles capacités professionnelles du candidat» ou encore de «vérifier la véracité des mentions figurant sur le CV». En pratique, les réseaux sociaux peuvent contribuer à cette vérification, même si l origine des informations mises en ligne est souvent le salarié lui-même. Les réseaux sociaux peuvent même avoir effectué les diligences nécessaires auprès des candidats leur permettant de diffuser leur CV dans le cadre de «viviers de CV». Dans ce cadre, il est évident que les entreprises pourront prendre connaissance et utiliser les informations de ces CV volontairement mis en ligne. Les 40 cabinets de recrutement de l association «à compétence égale» ont signé à ce sujet le 12 novembre 2009 la Charte d autorégulation «Réseaux sociaux, Internet, Vie privée et 5

6 Recrutement» ( reconnaissant la possibilité d utiliser les «profils» mis en ligne sur les réseaux sociaux professionnels. Un point à ne pas oublier : tout candidat à l embauche doit être informé préalablement sur les méthodes de collecte utilisées par l employeur (art. L du Code du travail). Par ailleurs, si le DRH (ou une personne dans son équipe) tombe sur une information qu il juge, à ses yeux, compromettante pour la candidature, mais qui n est pas en rapport avec les compétences professionnelles ou concerne la vie privée du candidat, il doit prendre garde à ne pas risquer une action sur le fondement de la discrimination (art du Code pénal). 5. Est-ce que les membres de la DRH ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux «professionnels» (Linkedin, Viadeo, etc.) concernant un salarié dans le cadre de sanctions éventuelles? Concernant le salarié déjà en poste, le DRH (comme tout représentant de l employeur) doit s assurer : - Qu il demeure dans le cadre de leurs missions de contrôle et dans les limites posées par les conditions de ce contrôle (proportionnalité, transparence et plus largement respect des formalités préalables éventuelles CNIL, règlement intérieur, etc.). Ainsi, les contrôles exercés doivent notamment se fonder sur une approche générale, statistique et anonyme de nature à révéler un manquement ou une alerte de sécurité par exemple, qui justifiera alors un contrôle nominatif ; - que ces données soient directement liées à l activité professionnelle dudit salarié ou qu elles créent au minimum un trouble caractérisé au sein de l entreprise. Dans le cas d un réseau «professionnel» et de l objectif poursuivi en général par la mise en ligne d un profil, il pourra être plus facile de voir cette réserve levée en pratique ; - que ces données aient été rendues accessibles à un large public ou au minimum à un cercle plus élargi que des individus reliés par une communauté d intérêts (où l on parlera alors de caractère privé des échanges). Dans le cas d un réseau «professionnel» et des fonctionnalités qu il offre, il pourra être plus facile de voir cette réserve levée en pratique ; - que, dans l hypothèse où des propos ou des actes lui seraient reprochés, la preuve de leur imputabilité à ce salarié soit rapportée. 6. Est-ce que les membres de la DRH ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux «privés» (Facebook, etc.) concernant un candidat? L article L du Code du travail exigeant que tout candidat à l embauche soit informé préalablement sur les méthodes de collecte utilisées par l employeur et la consultation d informations a priori privées dans le cadre d un recrutement n étant en rien validée par la loi ou la jurisprudence, les membres de la DRH ne pourront pas exploiter ou faire état des informations qui se trouvent sur les réseaux sociaux «privés» (ex : Facebook) concernant un candidat. Les 40 cabinets de recrutement de l association «à compétence égale», qui ont signé à ce sujet le 12 novembre 2009 la Charte d autorégulation «Réseaux sociaux, Internet, Vie privée et Recrutement» 6

7 ( l ont d ailleurs rappelé en indiquant qu une telle consultation devait nécessairement être autorisée préalablement par le candidat lui-même (qui a toute latitude en pratique pour se créer un profil «Facebook» de circonstance si l employeur cherchait à lui forcer la main). De plus, les éventuelles consultations des pages privées par l entreprise, surtout dans le cas où le candidat ne serait pas retenu, pourrait conduire celui-ci à mettre en cause la responsabilité de l entreprise, y compris pour discrimination le cas échant. Le réseau social privé externe étant un hébergeur au sens de la Loi pour la confiance dans l économie numérique du 21 juin 2004, et à ce titre tenu de conserver les données de traçabilité des opérations effectuées par ses membres, le doute risque d être facilement semé par le candidat malheureux. 7. Est-ce que les membres de la DRH ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux «privés» (Facebook) concernant un salarié dans le cadre de sanctions éventuelles? Concernant le salarié déjà en poste, le DRH (comme tout représentant de l employeur) doit s assurer : - Qu il demeure dans le cadre sa mission et dans les limites posées par les conditions de contrôle de l activité du salarié (proportionnalité, transparence et plus largement respect des formalités préalables éventuelles CNIL, règlement intérieur, etc.). Ainsi, les contrôles exercés doivent notamment se fonder sur une approche générale, statistique et anonyme de nature à révéler un manquement ou une alerte de sécurité par exemple, qui justifiera alors un contrôle nominatif ; - que ces données aient été rendues accessibles à un large public ou, en tout cas plus large, que des membres reliés par une communauté d intérêts, ce qui exclut bien souvent les réseaux ou communautés «privés». Reste que les paramètres de confidentialité «protégeant» l accès aux contenus peuvent parfois échapper au contrôle de l émetteur originel en reposant en réalité sur ses «amis» (ex : Facebook). Dans ce cas, la non-maîtrise de la diffusion peut conduire à la connaissance et à l exploitation des propos par l employeur contre le salarié (Le Conseil de prud'hommes de Boulogne-Billancourt, le 19 novembre 2010, RG : F ) ; - que, dans l hypothèse où des propos ou des actes lui seraient reprochés, la preuve de leur imputabilité à ce salarié soit rapportée. Cette preuve peut s avérer plus facile à collecter et produire dans l hypothèse d un profil de type Facebook que, paradoxalement, dans le cadre du système d information de l employeur : les informations privées pouvant être mises en ligne par le titulaire du compte (souvent très nombreuses), ainsi que les logs de connexion, permettent bien souvent de faciliter cette preuve. 8. Peut-on autoriser un collaborateur à publier des contenus sur un réseau social sans validation hiérarchique préalable? Oui, l entreprise peut autoriser un collaborateur à publier, dans le cadre professionnel, des contenus la concernant sur un réseau social sans validation hiérarchique préalable. Reste qu elle peut également choisir, en fonction de sa politique interne, des sujets considérés ou des objectifs considérés, que tout ou partie de la publication des contenus la concernant sur un réseau social se fera avec validation hiérarchique préalable. Le 7

8 formalisme particulier de cette validation préalable, courante pour les relations avec la presse, dépend entièrement de chaque entreprise et de la raison pour laquelle elle souhaite que cette validation (plus ou moins stricte) soit mise en place (harmoniser les déclarations? limiter voire exclure les communications officielles? etc.). La modération d un réseau social d entreprise par l employeur est en effet possible, même si elle n a pas été spécifiquement prévue, compte tenu du pouvoir de direction de l employeur sur son salarié. Cependant, il est nécessaire de prévoir une politique en matière d usage du RSE afin d encadrer et de sensibiliser les salariés à l usage de ces nouveaux outils, mais également de se doter de procédures internes efficaces adaptées aux différents cas (demande de retrait du contenu, sanction, etc.). L entreprise devra veiller à ce que les règles contenues dans cette politique soient en adéquation avec la charte informatique de l entreprise et au règlement intérieur auquel elle est rattachée. En effet, dans l hypothèse où la politique du RSE contiendrait des règles plus favorables au salarié, ces règles lui seront applicables et, dans le cas d une règle moins favorable, les règles de la charte prévaudront. Lorsque l on sort du strict cadre professionnel et à partir du moment où le salarié s exprime clairement en son nom propre et ne met pas en avant sa qualité de salarié de l entreprise (une telle mise en avant pouvant laisser penser qu il s exprime au nom de celle-ci), l employeur ne peut plus encadrer les actes du salarié, qui sort du cadre de son pouvoir de direction. Néanmoins, celui-ci reste tenu par les obligations nées de son contrat de travail et notamment : - Un devoir de loyauté ; - Une obligation de confidentialité. L employeur peut donc parfaitement rappeler à l utilisateur que celui-ci doit respecter ses engagements quand il publie des contenus sur les réseaux sociaux (et indépendamment de ceux-ci). A défaut, l employeur pourra sanctionner le salarié. 9. Les organisations syndicales d une entreprise peuvent elles utiliser les réseaux sociaux externes pour publier les informations à leur disposition à l ensemble des salariés? L usage du RSE à des fins syndicales, n est pas autorisée en l absence d accord d entreprise (v. notamment questions 29 et 30). En ce qui concerne l utilisation de réseaux sociaux externes, il convient de prendre en référence les règles dégagées par la jurisprudence qui s est développée en matière de sites internet. Il en ressort ainsi que la diffusion sur un site internet des messages contenant l'expression de revendications syndicales, ne peut-être considéré comme étant illicite si cette pratique ne porte pas un trouble à l exécution normal du travail ou à la marche de l'entreprise (Tribunal de grande instance de Paris, 17novembre 1997). Toutefois, il est recommandé que la diffusion sur internet ne puisse pas être visible de tous et notamment des tiers à l entreprise (interprétation tirée de plusieurs décisions, dont celles de la Cour d appel de Paris du 3 juillet 2002, de la Cour de cassation du 3 novembre 2004, du Tribunal de grande instance de Bobigny du 11 janv. 2005, de la Cour d appel de Paris du 15 juin 2006 et de la Cour de cassation du 5 mars 2008). Les documents confidentiels ne doivent donc pas être diffusés par ce biais, même s il semble par ailleurs que l obligation de discrétion à laquelle sont soumis les syndicats en 8

9 vertu de l article L alinéa 2 du Code du travail («Les membres du comité d'entreprise et les représentants syndicaux sont tenus à une obligation de discrétion à l'égard des informations revêtant un caractère confidentiel et présentées comme telles par l'employeur») n est pas applicable dans le cas de communications externes à l entreprise, ces communications n étant pas soumises aux dispositions du Code du travail (Cass. soc., 28 février 2007, Bull. 2007, V, n 37, pourvoi n à propos de tracts diffusés à l extérieur de l entreprise), Il n en demeure pas moins que les communications externes à l entreprise et donc sur les réseaux sociaux sont soumises au droit de la presse et à la Loi pour la confiance en l économie numérique. En conséquence, la possibilité de diffuser des informations sur un site internet ou sur un réseau social externe dépendra surtout du type de documents publiés et du public susceptible de pouvoir visualiser lesdits documents. 10. Quelles sont les limites de la liberté d expression du salarié sur un réseau social? Sur un réseau externe pendant ses heures de travail? Hors de ses heures de travail? Chaque salarié dispose du droit d expression, selon l article 10 de la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés fondamentales. Toutefois, cette liberté d expression n est pas absolue et ne peut s exprimer que dans le respect du droit applicable et des bonnes mœurs. Par exemple, la diffamation ou l incitation à la haine raciale représentent des délits pénaux, sanctionnables par les tribunaux. Sous l angle du droit privé, la liberté d expression est également restreinte par les droits de l employeur ou des tiers, et leur atteinte sera susceptible de sanctions de la part de l employeur et/ou de poursuites judiciaires de la part des tiers. En pratique, il convient ici de distinguer selon le type d agissement commis dans la vie personnelle du salarié, c est-à-dire à l occasion de l usage du réseau social externe. Le principe posé est que le salarié ne peut être sanctionné par l employeur en raison de faits tirés de sa vie personnelle. Toutefois : - si le comportement de celui-ci a créé un trouble caractérisé au sein de l entreprise, l employeur ne pourra justifier un licenciement disciplinaire. Le licenciement pour motif personnel reste, lui, possible (Cass. soc. 9 mars 2011 n ). En effet, le trouble caractérisé au sein de l entreprise est analysé par la jurisprudence comme une cause réelle et sérieuse de licenciement. Récemment, le licenciement d un salarié ayant mis en cause la moralité d un représentant de la société dans des actes de sa vie privée, a ainsi été reconnu comme reposant sur une cause réelle et sérieuse (Cass. soc. 21 septembre 2011, n ). - la liberté d expression ne peut pas couvrir des faits constitutifs de harcèlement, la Cour de cassation considérant que les faits commis ne relèvent pas de la vie personnelle du salarié. Dès lors, le salarié auteur des agissements pourra être sanctionné (Cass. soc. 19 octobre 2011, n ). Par ailleurs, le licenciement disciplinaire reste possible si les faits commis dans la vie personnelle du salarié sont en réalité constitutifs d une faute professionnelle (manquement à l obligation de loyauté, de confidentialité, etc.) Ainsi, des propos dénigrants échangés sur Facebook par des salariés du service ressources humaines vis-à-vis de leur entreprise ont été considérés comme constituant une faute grave 9

10 justifiant un licenciement disciplinaire. En l espèce, deux salariés avaient publié sur leurs profils Facebook personnels, en dehors des heures de travail, des propos dénigrant leur hiérarchie et leur entreprise notamment en créant le «club des néfastes» et en appelant par exemple à se «foutre de la gueule de votre supérieure hiérarchique, toute la journée et sans qu elle s en rende compte». Un autre salarié, ayant accès à cette page en tant qu «ami Facebook», a pris copie de ceux-ci et les a transmis à l employeur. Pour le Conseil de prud hommes, cette conversation constitue un abus du droit d'expression et porte atteinte à l'image et à la réputation de la supérieure visée. Les propos tenus sortent du cadre privé, compte tenu de l accès très large du compte Facebook (Conseil de prud hommes de Boulogne-Billancourt, 19 novembre 2010, RG : F 09/00316). La recevabilité de la preuve dépendrait donc du degré de visibilité choisi par le titulaire de la page, choix qui n est pas sous le contrôle de celui qui, dans cette affaire, «poste» une partie des contenus, d autant que le titulaire de la page peut changer cette restriction à tout moment. Le salarié n a donc aucune assurance que tout ce qu il «poste» sur la page d un autre ne pourra être utilisé contre lui si cela cause un préjudice à un tiers. Les propos tenus étant visibles par de nombreuses personnes (internes et externes), la nuisance à l entreprise peut plus facilement être prouvée. En outre, la fonction occupée pourra avoir un impact sur la gravité de la sanction, des salariés du service ressources humaines, des cadres dirigeants pourront être sanctionnés plus sévèrement considérant le fait que leurs postes doivent a priori porter haut les valeurs de l entreprise. Il convient de noter également que cet abus de liberté d expression pourra être qualifié indépendamment de la plage horaire d utilisation du RSE, ce critère n entrant, en effet, pas en ligne de compte. 11. L employeur peut-il sanctionner ses salariés en cas de refus d utilisation d un réseau social externe. L employeur peut sanctionner le refus d utilisation d un réseau social externe par un salarié à partir de moment où cette utilisation fait partie de l exercice de ses missions, que l outil respecte les réglementations applicables, que les informations mises en ligne par le salarié restent d ordre professionnel ou sont volontairement mises en ligne par celui-ci et que le compte en question est un compte professionnel, ouvert pour l entreprise. Par contre, il ne peut pas obliger le salarié à utiliser un réseau social externe avec son compte privé pour le compte de l entreprise. 12. Quid du droit à l image sur les réseaux sociaux externes? Le droit à l'image est le droit de toute personne physique à disposer de son image. Il permet à une personne de s'opposer à l'utilisation, commerciale ou non, de son image, au nom du respect de la vie privée. Il est toutefois contrebalancé par le droit à la liberté d'expression. (La notion de droit à l image est une création jurisprudentielle qui découle de l article 9 du Code civil suivant lequel toute personne a droit au respect de sa vie privée). Tout collaborateur qui souhaite diffuser une photo ou vidéo sur un réseau social externe est tenu de respecter les principes suivants. Si une personne est photographiée ou filmée de manière reconnaissable dans un lieu public ou privé, son autorisation est nécessaire avant toute diffusion publique quel que soit le support (sur un site Internet, un blog, et a fortiori sur un réseau social ). La personne doit donner son consentement express, c est-à-dire qu elle doit signifier son accord par écrit. Son 10

11 consentement doit être suffisamment précis quant aux modalités de l'utilisation de l'image : la personne doit savoir sur quel support son image sera publiée et dans quel cadre. Toutefois, si la personne a vu qu'elle était photographiée ou filmée et ne s'y est pas opposée, son consentement est présumé. A défaut, la personne dont l image a été divulguée peut agir en justice et saisir le juge sur le fondement de l article 9 du Code civil. Le juge prendra toutes les mesures propres à empêcher ou à faire cesser une atteinte à la vie privée. Par ailleurs, des règles spécifiques peuvent exister concernant par exemple la diffusion de photos d enfants mineurs (autorisation des deux parents ou représentants légaux de l'enfant nécessaire), de personnes décédées (le droit à la vie privée ne s arrête pas au moment du décès), ou encore de manifestations et images de foule. 13. Quelles sont les obligations de l employeur en matière de protection de la sécurité et de la confidentialité des données clients traitées sur un réseau social externe? Ces données clients se trouvent très souvent être des données à caractère personnel, c està-dire des données permettant directement ou indirectement l identification d un personne physique. En conséquence, l employeur, qui traite ces données afférentes à ses clients, est tenu à une obligation de sécurité issue de l article 34 de la loi n du 6 janvier 1978, qui vise à protéger les personnes contre toute atteinte aux données à caractère personnel les concernant et qui seraient traitées, collectées ou stockées par un système d information. Cette obligation, pénalement sanctionnée via l article du Code pénal, est une obligation de moyens pour la jurisprudence. Elle se traduit par la mise en place de mesures garantissant un niveau de sécurité approprié, au regard de la sensibilité des données, de l état de l art et des coûts engendrés. Certaines données sont par ailleurs protégées par le secret professionnel (secret bancaire) et ne peuvent donc être communiquées sauf consentement du client. La sécurité qu il convient d assurer à ces données n en est alors que renforcée (v. notamment art. L du Code monétaire et financier). De même, la réglementation bancaire créée, pour les entreprises qui y sont assujetties, des obligations en matière de sécurité des systèmes d information (art. 14c du Règlement 97-02, art. L , L et L du Code monétaire et financier et art à du Règlement générale de l Autorité des marchés financiers). A partir du moment où ces données se retrouvent non protégées et accessibles par des personnes autres que leurs seuls destinataires naturels, peu importe d ailleurs que cela soit sur un réseau social interne ou un réseau social externe, l employeur est tenu, dans les deux cas, d assurer leur sécurité et notamment leur confidentialité. Pour plus de détails, v. «Obligations en matière de sécurité des systèmes d'information», document du Groupe Informatique et Juridique du Forum des Compétences publié en juin 2011 et disponible sur Le fait de contribuer à un réseau social (externe ou interne) pour le compte de l employeur en-dehors du temps de travail peut-il donner lieu à requalification en heures supplémentaires? 11

12 Tout dépendra en pratique si les heures supplémentaires effectuées par le salarié ont été rendues nécessaires par les tâches qui lui ont été confiées : a-t-il décidé, indépendamment de toute demande urgente, de consulter le réseau social et de publier des informations dessus hors de son temps de travail ou l a-t-il fait sur demande expresse de l employeur? Dans ce dernier cas, en effet, et sauf à ce qu il soit au régime du forfait, il «peut prétendre au paiement d'heures supplémentaires» (Cass. soc., 6 avril 2011, n ). En ce qui concerne les salariés en forfaits jours, la question ne se pose plus en ces termes. L activité des contributeurs au réseau social doit être clairement établie en fonction de l organisation mise en place à l occasion de l accord-cadre l ayant permis. Le principe général, tel que dégagé par la Cour de cassation le 29 juin 2011, s applique alors : la validité du système du forfait jour est conservé dans la mesure où «l employeur respecte strictement les obligations inhérentes à l accord ayant mis en place ce système et en particulier concernant le contrôle des jours travaillés et de repos, etc.». Notons enfin que le RSE, et les logs enregistrés à l occasion de son utilisation, peuvent servir de preuve de façon très complète pour déterminer qui a posté quoi et quand, ce qui peut aider les parties et au final le juge éventuellement saisi à déterminer qui a fait quoi et, peut-être, sur demande de qui. Questions / Réponses relatives aux réseaux sociaux internes à l entreprise ou réseaux sociaux d entreprise (RSE) 15. Comment accompagner le changement lors de la mise en place du réseau social d entreprise ou RSE? La mise en place d un projet de Réseau Social interne au sein d une entreprise (appelé en pratique RSE), quelles que puissent être les fonctionnalités offertes par celui-ci (simples fonctionnalités de travail collaboratif ou véritable réseau social intégré), est souvent l occasion de modifications organisationnelles parfois profondes, ne serait-ce qu en terme de management (rôle du middle management dans l encadrement de leurs équipes devenant utilisateur? Fixation d objectifs de participation, etc.). Mais les problématiques juridiques soulevées à cette occasion sont également nombreuses, et la complexité de leur enchevêtrement dans plusieurs domaines juridiques différents (sécurité des systèmes d information, protection des données à caractère personnel, droit de la presse, droit des réseaux, droit d auteur, droit à l image, droit social, etc.) impose de prendre quelques précautions préalables : - identifier les fonctionnalités présentes dans le système d information de l entreprise qui vont être remplacées par celles du réseau social et prendre en compte les nouvelles modalités de fonctionnement de celles-ci ; - analyser et anticiper les impacts des fonctionnalités nouvelles et celles, potentielles, susceptibles d être mises en œuvre dans l outil à moyenne échéance ; - saisir la direction juridique ou un conseil juridique le plus en amont possible de la réalisation du projet et lui transmettre tous les éléments d informations utiles ; - intégrer si ce n est déjà fait, dans un groupe de travail accompagnant la mise en place du réseau social, les décideurs en charge de la sécurité des systèmes d information, du juridique, des relations sociales au sein de l entreprise, ainsi que le service à l origine du projet afin que l information soit partagée, que les risques soient évoqués et que les arbitrages nécessaires soient rendus. 12

13 16. Est-ce que les collaborateurs internes exerçant une fonction de contrôle ont le droit d exploiter les informations qui se trouvent sur les réseaux sociaux internes de l entreprise? Les collaborateurs exerçant une fonction de contrôle (inspection, audit, conformité, etc.) peuvent effectivement, et de façon beaucoup plus large que pour les réseaux externes, exploiter des données concernant le salarié, récoltées sur les réseaux sociaux internes. Certes, ils devront demeurer dans le cadre de leurs missions de contrôle et dans les limites posées par les conditions de ce contrôle (proportionnalité, transparence et plus largement respect des formalités préalables éventuelles CNIL, règlement intérieur, etc.). Ainsi, les contrôles exercés doivent notamment se fonder a priori sur une approche générale, statistique et anonyme de nature à révéler un manquement ou une alerte de sécurité par exemple, qui justifiera alors un contrôle nominatif. Mais la question de la publicité des propos et de l accès à ceux-ci, qui se pose dans le cadre de Réseaux Sociaux externes, n a plus d objet ici. De même, sous réserve d avoir rédigé des règles d utilisations claires, ses possibilités d intervention sont très importantes (retrait immédiat ou a posteriori des contenus publiés, exploitation, imputabilité facilitée, etc.), y compris dans le domaine de l expression syndicale si l accord d entreprise (conclu spécifiquement sur cette question) le prévoit. Toutefois, ce retrait des contenus par l employeur ne signifie en rien que ces contenus soient forcément supprimés. Même hors-ligne, ils resteront utilisables en justice ou opposables à leur auteur, par exemple dans le cas en cas de diffamation (action par un salarié contre un autre salarié par exemple) ou de sanction de comportements abusifs du salarié par l employeur, dans le respect des délais de prescription applicables. Reste que certaines fonctionnalités éventuellement offertes par l outil informatique (géolocalisation) nécessiteront un encadrement particulier (et donc une limitation d usage des données collectées). Enfin, le fait que l entreprise ait mis en place un réseau social d entreprise, ne l affranchit en rien du respect de règles connues dans l entreprise et habituellement maîtrisées, que ce soit des règles liées à la protection des données à caractère personnel (auxquelles on peut joindre le droit à l image) ou au droit d auteur sur les contenus originaux développés par le salarié. Toutes ces questions devront avoir été abordées et réglées préalablement à la mise en place d un tel réseau social d entreprise, afin de pouvoir bénéficier de règles d intervention et de procédure claires, définies, et conformes aux droits de chacun. 17. Est-ce que les collaborateurs internes exerçant une fonction de contrôle ont le droit d exploiter les informations qui se trouvent dans les espaces de communautés de réseaux internes à l entreprise alors que la communauté est organisée autour de sujets non professionnels? Les collaborateurs exerçant une fonction de contrôle (inspection, audit, conformité, etc.) peuvent, et de façon beaucoup plus large que pour les réseaux externes, exploiter des données concernant le salarié, récoltées sur les réseaux sociaux internes. Certes, ils devront demeurer dans le cadre des limites posées par les conditions de ce contrôle (proportionnalité, transparence et plus largement respect des formalités préalables éventuelles CNIL, règlement intérieur, etc.). Ainsi, les contrôles exercés doivent notamment se fonder a priori sur une approche générale, statistique et anonyme de nature à 13

14 révéler un manquement ou une alerte de sécurité par exemple, qui justifiera alors un contrôle nominatif. Mais la question de la publicité des propos et de l accès à ceux-ci, qui se pose dans le cadre de Réseaux Sociaux externes, n a plus d objet ici. De même, sous réserve d avoir rédigé des règles d utilisations claires, ses possibilités d intervention sont très importantes (retrait immédiat ou a posteriori des contenus publiés, exploitation, imputabilité facilitée, etc.), y compris dans le domaine de l expression syndicale si l accord d entreprise (conclu spécifiquement sur cette question) le prévoit. Reste qu en matière de communautés à sujets non professionnels, dont la création a été encouragée ou au minimum validée par l entreprise, les règles posées pour l encadrement de ces espaces vont être primordiales pour déterminer les modalités d action de l entreprise face à des informations dont elle aurait connaissance par ce biais. Par ailleurs, le rôle de l entreprise s assimile grandement à celui d un hébergeur proposant ses services à ses utilisateurs. Les règles applicables à l hébergeur (prévoir la notification des contenus, la conservation des logs) semblent devoir être transposables, par analogie, à l employeur. Celui-ci aura alors intérêt à s appuyer sur l action de Community managers dont le rôle externe est parfaitement transposable en interne, ce qui inclut également la modération. Il convient de prévoir cette modération dans les conditions d utilisation de l espace : celle-ci restera possible, même si elle n a pas été spécifiquement prévue, compte tenu du pouvoir de direction de l employeur sur son salarié. Par contre, ces conditions générales d utilisation, mis à part leur rôle pédagogique, retrouvent toute leur utilité pour prendre en compte les situations d intervenants externes à l entreprise à strictement parler (salarié d une autre entité du groupe, prestataire, etc.) Sur la notion de règles internes de l entreprise opposables aux non salariés, le lecteur pourra se reporter avec profit à «La charte Informatique par l exemple», document du Groupe Informatique et Juridique du Forum des Compétences publié en février 2007 et disponible sur Le RSE peut-il être considéré comme un traitement de données personnelles? Dès lors qu un RSE collecte et traite des données permettant d identifier directement (nom, prénom, profil, photographie, CV ) ou indirectement des personnes (n d identifiant personnel ), il constitue un traitement de données à caractère personnel au sens de la loi dite «Informatique et Libertés» ( 2 ). Il devra donc à ce titre respecter certains principes et faire l objet de formalités déclaratives préalables à sa mise en œuvre. Les manquements aux principes de la loi Informatique et Libertés peuvent faire l objet de sanctions (sanctions pénales, sanctions administratives, financières de la part de la CNIL, etc.). 19. Quelles sont les obligations à respecter lors de la mise en œuvre d un RSE comportant des données personnelles? 2 Loi du 6 janvier 1978 relative à l Informatique, aux fichiers et aux libertés modifiée. 14

15 Concernant les obligations à respecter lors de la mise en œuvre d un RSE comportant des données à caractère personnel, l entreprise devra être attentive au respect des principes suivants : - Principe de finalité : le RSE devra avoir une finalité (ou des finalités) bien déterminée(s) (à quoi va-t-il servir?) ; - Principe de proportionnalité : seules devront être collectées des informations pertinentes et en lien avec la finalité et les objectifs du RSE (-> modération, attention aux informations ou propos pouvant être discriminants, diffamatoires, injurieux ou non respectueux de la vie privée) ; - Principe d une durée limitée de conservation des informations : un «droit à l oubli» et donc un effacement des informations au-delà d une certaine durée ; - Principe de sécurité et de confidentialité : la loi impose au responsable de traitement de prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données et notamment empêcher qu elles ne soient déformées, endommagées ou que des tiers non autorisés n y aient accès (sur ce point à rapprocher de la question 44 relative à la «notification des atteintes aux données personnelles») ; - Principe de transparence à l égard des personnes concernées : toute personne doit être informée des finalités du RSE, des destinataires des informations, et des modalités d exercice de ses droits d accès, de rectification et d opposition. En cas de transferts d informations hors de l UE, une information spécifique est à délivrer. Ces obligations de transparence à l égard des salariés sont également imposées par le Code de travail (articles L et L ), notamment si des conséquences individuelles peuvent résulter de l usage du RSE, le salarié devra en être clairement informé ; - Principe de droit d accès, de rectification et d opposition : toute personne disposant d un droit d accès, de rectification et d opposition aux données le concernant, il conviendra de prendre en compte la gestion de ces droits dans le RSE. 20. Quelles sont les formalités déclaratives à respecter lors de la mise en œuvre d un RSE comportant des données personnelles? Concernant les formalités déclaratives, celles-ci pourront varier en fonction de la finalité et du périmètre du RSE : - soit une déclaration ordinaire à la CNIL (ou si le périmètre du RSE se réduit à une simple «messagerie» déclaration simplifiée sur la base de la norme simplifiée NS 46 «gestion du personnel»), - soit une inscription au registre du Correspondant Informatique et Libertés pour les organismes qui en sont dotés, - soit une demande d autorisation à la CNIL, si le RSE est accessible à des utilisateurs ou destinataires situés hors de l Union Européenne, ou encore s il comporte des informations dite «sensibles» (telles les informations concernant l origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l appartenance syndicale, la santé...). 21. Peut-on prévoir que les participants au RSE interviennent de façon anonyme? 15

16 En pratique, la participation à un réseau social d entreprise (RSE) pourrait se faire sous forme anonyme aux yeux des autres participants, bien que cela paraisse quelque peu contradictoire avec les principes mêmes servant de fondement à ces réseaux. Une participation sous forme anonyme pourrait cependant faciliter les comportements répréhensibles sur le réseau social mis en place par l entreprise (on pense en tout premier lieu au harcèlement, mais également à la diffamation, etc.), l identification des participants dans l entreprise apparaissant souvent comme un gage d autorégulation lors de l utilisation de ces réseaux. Une solution alternative pourrait consister à autoriser les participants à s identifier à l aide de pseudonymes. Quoi qu il en soit, la mise en place d un réseau social d entreprise véritablement anonyme reste de l ordre de l utopie en pratique. En effet, même si l employeur autorise la participation sous forme «anonyme» par l utilisation de pseudonymes ou en complet anonymat vis-à-vis des autres participants (untel apparaissant comme «un membre du service RH»), il n en demeure pas moins qu au plan technique les traces des connexions réalisées sur la plateforme hébergeant le réseau social doivent permettre d identifier les différents contributeurs. En tout état de cause et indépendamment du système d anonymisation ou de pseudonymisation utilisé, il n en reste pas moins que le RSE devra vraisemblablement donner lieu à application de l ensemble des dispositions de la loi informatique et libertés du 6 janvier 1978, ne serait-ce qu en raison du contenu des informations publiées. 22. Peut-on prévoir que cet anonymat soit total vis-à-vis de l entreprise? En pratique, les diverses réglementations françaises et internationales pouvant imposer l identification des membres contributeurs d un réseau, ainsi que la traçabilité de leurs actions, il paraît nécessaire à l employeur de conserver l ensemble de ces éléments, et donc d interdire toute utilisation de son réseau social interne de façon complètement anonyme (v. sur ce point question 21). 23. L employeur peut-il utiliser le contenu mis en ligne (propos, etc.) pour sanctionner un salarié ou agir en justice contre un tiers (prestataires, client, etc.) dans le cas d un RSE qui leur serait ouvert? L employeur peut utiliser le contenu mis en ligne (propos, etc.) pour sanctionner un salarié ou agir en justice contre un tiers (prestataires, client, etc.) dans le cas d un RSE qui leur serait ouvert. Ainsi l ensemble des traces (contenu et éléments de traçabilité) sont des preuves que les magistrats saisis peuvent accueillir favorablement dans le cadre du contentieux en question. Le niveau de fiabilité de ces preuves, et donc de l accueil fait par les magistrats, dépendra en pratique de la sécurité (fiabilité, intégrité) de la plate-forme technique utilisée, des traces informatiques conservées ou encore des éléments d identification permettant d assurer l imputabilité au salarié ou au tiers. Par ailleurs, leur utilisation nécessitera bien entendu que l ensemble des formalités juridiques encadrant leur recueil aient été réalisées (formalités CNIL, présentation devant les instances représentatives du personnel le cas échéant, etc.). 16

17 24. Peut-on utiliser le RSE comme instrument de contrôle de l activité du salarié? L entreprise peut utiliser son réseau social d entreprise pour contrôler l activité de ses salariés sous réserve : - d avoir préalablement informé les salariés et les instances représentatives du personnel de l existence, des modalités, de la finalité des contrôles effectués, et des conséquences éventuelles pouvant en résulter pour l utilisateur (ex : sanctions disciplinaires) ; - que le contrôle de l activité des salariés par le réseau social soit proportionné au but recherché, eu égard à l éventuelle atteinte à la vie privée du salarié ou à ses droits ; - que l ensemble des formalités juridiques encadrant le réseau social d entreprise, en tant qu outil de contrôle du salarié, ait été réalisé. Ainsi, des formalités afférentes au traitement des données à caractère personnel doivent être effectuées (le cas échéant, déclaration à la CNIL). De même, les formalités prévues dans le Code de travail concernant le contrôle de l activité du salarié doivent être respectées (consultation des instances représentatives du personnel, etc.). Pour en savoir plus, le lecteur pourra se reporter avec profit à «La charte Informatique par l exemple», document du Groupe Informatique et Juridique du Forum des Compétences publié en février 2007 et disponible sur Les contenus accessibles sur l internet (articles, images, photos, vidéos, logos) peuvent-ils être librement réutilisés sur le RSE? A priori, et contrairement à la pratique commune, il n est pas possible de réutiliser les contenus disponibles sur l internet, sauf à en obtenir l autorisation préalable de l auteur ou des ayants droit (autorisation parfois à titre onéreux) et de respecter l ensemble des stipulations de la licence d utilisation. De même, les contenus précisés comme étant «libres de droit» ou gratuitement mis à disposition ne peuvent être reproduits qu en respectant strictement les conditions prévues dans les licences d utilisation qui les encadrent (Creative Commons, etc.). Ces dernières autorisent parfois une reproduction à titre gratuit pour les particuliers ou les organisations sans but lucratif mais interdisent ou limitent souvent toute utilisation à titre commercial, donc au sein de l entreprise. Une analyse précise des licences d utilisation des contenus ajoutés sur un RSE apparaît donc absolument indispensable. Ceci concerne également les fonctionnalités logicielles ajoutées à la plate-forme (widgets, etc.). 26. Quels sont les droits du salarié sur les données qu il a publiées sur le RSE? Sur le RSE, le salarié a la possibilité de publier des données. Il devra s assurer au préalable de ne pas publier d œuvres pré-existantes, ou d extraits d œuvres, sans l accord préalable et formel de l auteur originel, au risque d être responsable de contrefaçon, sanctionnable civilement et pénalement. S il publie une œuvre qu il a créée, quelle que soit sa nature, notamment photographique, musicale ou vidéographique, le salarié devra s assurer également de respecter les droits des tiers (droit à l image, droit des marques, etc.). En portant atteinte aux droits d autrui, le salarié pourrait engager sa responsabilité, voire celle de son employeur. Si la création du salarié est intellectuellement propre à son auteur et originale, celui-ci pourra revendiquer la qualité d auteur, selon l art. L.111-1, alinéa 3, du Code de la propriété intellectuelle (CPI) : «L existence ou la conclusion d un contrat de louage d ouvrage ou de service par l auteur d œuvre de l esprit n emporte aucune dérogation à la jouissance du droit ( ).» 17

18 Cependant, la titularité des droits d auteur du salarié est, dans le domaine de la propriété intellectuelle, l une des questions les plus controversées. Quelles que soient les dispositions du contrat de travail, celles-ci ne peuvent pas prévoir la cession des œuvres futures, selon l art. L du CPI. A la différence des inventions de salariés, qui ne sont généralement pas associées aux résultats pécuniaires de l exploitation de leurs brevets, le salarié est titulaire des droits de propriété intellectuelle. Il en est de même si l œuvre est créée dans le cadre d une mission créative. La Cour de cassation a affirmé clairement le principe de la création salariée (Cass. civ., 16 déc. 1992) alors qu une abondante jurisprudence avait admis le contraire par le passé. Mais à ce principe, s ajoutent deux exceptions. D une part, celle du journaliste, lié par un contrat de travail ou de commande, qui conserve le droit de reproduire ou de faire exploiter l œuvre, sous réserve que la reproduction ne concurrence pas le journal, ou l entreprise d information, dans lequel elle a été publiée initialement (art. L du CPI). D autre part, l auteur de logiciel, car les droits patrimoniaux sur les logiciels et leur documentation sont dévolus à l employeur (art. L du CPI). Les droits de propriété littéraire et artistique attachés à une création unitaire pourront être cédés à l employeur, dans le cadre d un contrat, mais non globalement. Cette solution apparaît parfois lourde à mettre en place. Toutefois, l encadrement juridique du RSE, notamment par le biais de Conditions Générales d Utilisation, pourrait être un vecteur permettant d organiser de façon relativement claire, cette cession. La question de la rémunération peut également se poser, et en l absence de précisions, le principe de la rémunération proportionnelle, prévue dans le CPI s applique, sachant qu il est assorti de nombreuses exceptions. Dans le cas où le salarié publie, sur le RSE, des données créées collectivement, à l initiative de l employeur, et si la contribution du salarié se fond dans l ensemble sans qu il soit possible d attribuer à chaque personne un droit distinct, il s agira d une œuvre collective (art. L du CPI). Dans ce cas, les droits sur cette œuvre appartiendront à l employeur. C est le cas des encyclopédies, dans lesquelles les rubriques ont rarement une existence autonome. Enfin, précisons que le titulaire des droits d auteur, c'est-à-dire des droits de reproduction et d exploitation, bénéficiera de ces droits pendant la durée légale de protection, c'est-à-dire 70 ans à compter de la création. Si l auteur est une personne physique, celle-ci conserve un droit moral sur l œuvre et son nom pourra être apposé sur celle-ci. 27. Quels sont les droits de l entreprise sur les données publiées par les salariés sur le RSE? La publication par un salarié sur le RSE soulève la problématique complexe de la titularité des droits sur les créations des salariés. Suivant les situations, l employeur sera ou non titulaire des créations élaborées par le salarié. Ce flou juridique autour de la création dans le cadre de l entreprise peut créer une insécurité juridique tant pour les créateurs salariés que pour l employeur. L entreprise dispose de droits de propriété intellectuelle (reproduction, exploitation, etc.) sur les publications du RSE, à la condition que celles-ci soient originales et que les publications ne portent pas atteinte aux droits d autrui (propriété intellectuelle, vie privée, etc.)., quand les créations sont réalisées de manière collective par les collaborateurs, à l initiative de l employeur et que leur contribution se fond dans l ensemble, sans qu il soit possible d attribuer à chaque personne un droit distinct. Il s agit ici, d une œuvre collective (art. L du Code de propriété intellectuelle ou CPI). 18

19 Si la création est faite par un journaliste salarié, celui-ci ne pourra invoquer sa qualité d auteur pour s opposer à la publication par le journal ou, plus généralement l entreprise d information à laquelle il est lié. Le contrat de travail opère ici une cession de plein droit. Le journaliste conserve cependant le droit de reproduire ou de faire exploiter l œuvre, sous réserve que la reproduction ne concurrence pas l entreprise d information (art. L du CPI). Si l élément publié sur le RSE est un logiciel ou la documentation associée, créé par un ou plusieurs salariés, les droits patrimoniaux sont dévolus à l employeur (art. L du CPI). Cependant, contrairement à une croyance couramment répandue, dans le cas où les créations, sous toutes leurs formes (textes, dessins, photographies ) sont réalisées et publiées par un salarié, qui les a créées, l auteur reste celui qui a effectivement créé l œuvre, même dans le cadre d une mission créative. Cette logique personnaliste en faveur des auteurs salariés s oppose à la logique économique de l employeur, incitant ce dernier à revendiquer la maîtrise juridique de la création. En effet, le salarié est le titulaire des droits de propriété intellectuelle sur ses créations originales, à la différence des inventions de salariés en mission. Quelles que soient les dispositions du contrat de travail, et les termes du règlement intérieur, ceux-ci ne peuvent pas prévoir la cession des œuvres futures (art. L du CPI), même si l œuvre est créée dans l exécution d une mission créative. La cession globale anticipée par le contrat de travail risque fort d être considérée comme nulle. La Cour de cassation a affirmé ce principe de la création salariée (Cass. civ., 16 déc. 1992), alors que la jurisprudence et la doctrine tenaient, antérieurement à cet arrêt, une position différente. Bien que la portée du texte ait suscité de nombreuses controverses, l opinion dominante est qu il est interdit de céder des droits portant globalement sur plusieurs œuvres futures. L employeur pourra néanmoins obtenir une cession d œuvre, au cas par cas, cession éventuellement prévue dans les Conditions Générales d Utilisation du RSE. De façon générale, le contrat de cession devra identifier avec précision l œuvre, ou les œuvres concernée(s), les modes d exploitation, la durée de la cession et sa portée géographique. Cette solution apparaît comme complexe, voire difficilement applicable, dans le cadre de créations numériques, conçues et publiées rapidement. Face à cette insécurité juridique, une réforme de la cession des droits patrimoniaux a été engagée, dans les années 2000, par une commission du Conseil de la propriété littéraire et artistique, mais cette réforme n a pas abouti. Par ailleurs, indépendamment de la protection par le droit d auteur, le corpus informationnel constitué par l ensemble des données publiées sur le RSE est susceptible de bénéficier également de la protection sui generis des bases de données (Art. L du CPI), s il répond aux conditions exprimées par les textes. Ainsi, il suffirait que l employeur démontre les investissements notamment financiers et humains qu il a réalisé pour bâtir le RSE et son contenu, afin qu il devienne titulaire du droit sui generis sur celui-ci. 28. Comment faire pour prendre en compte l aspect international de la problématique juridique lors de la mise en place d un RSE? La mise en place d un RSE soulève de nombreuses problématiques juridiques, notamment en matière de droit social, droit d auteur, données à caractère personnel, droit à la vie privée et sécurité de l information. Cependant, la première question à se poser est de savoir quel droit s applique au réseau social d entreprise. La loi applicable peut par exemple être celle du pays où sont situés les serveurs, ou celle applicable aux activités de l entreprise, voire celle applicable aux contrats 19

20 de travail des salariés de l entreprise. Il n est pas impossible qu il existe des contradictions entre différents droits applicables. L analyse juridique devra être effectuée dans le cadre du projet de lancement du RSE et suivie au cours de son évolution. Outre la question du droit applicable ou encore du juge compétent, il s agit aussi d appréhender la politique internationale de l entreprise, c'est-à-dire quel est son système de gouvernance en matière de risques? Quid de sa politique en matière de sécurité de l information? Quelles directives internes seront applicables au RSE à dimension internationale? 29. Les organisations syndicales ont-elles un droit acquis à l usage du RSE de l entreprise? Les instances représentatives du personnel n ont pas un droit acquis à l usage du RSE, notamment pour s adresser aux autres salariés. C est l employeur qui est et reste maître de l utilisation qui est faite de son système d information et de son contenu (dont le RSE mis à disposition des salariés), en application de ce que le législateur a pu adopter en ce qui concerne l utilisation de l intranet de l entreprise, suivant une réponse ministérielle du 1er février 1999 du ministre de l'emploi et de la solidarité (selon laquelle «L intranet de l'entreprise et le matériel qui permet de s'y connecter étant des outils strictement professionnels, l'entreprise est libre d'en accorder ou d'en refuser l'utilisation aux instances représentatives») et en application de l article L du Code du travail (un «accord d'entreprise peut autoriser la mise à disposition des publications et tracts de nature syndicale, soit sur un site syndical mis en place sur l'intranet de l'entreprise, soit par diffusion sur la messagerie électronique de l'entreprise. Dans ce dernier cas, cette diffusion doit être compatible avec les exigences de bon fonctionnement du réseau informatique de l'entreprise et ne pas entraver l'accomplissement du travail. L'accord d'entreprise définit les modalités de cette mise à disposition ou de ce mode de diffusion, en précisant notamment les conditions d'accès des organisations syndicales et les règles techniques visant à préserver la liberté de choix des salariés d'accepter ou de refuser un message»). 30. Comment prévoir et encadrer l usage du Réseau social d entreprise par les organisations syndicales? Suivant l article L du Code du travail, les organisations syndicales du personnel ne pourront utiliser le RSE dans le cadre de leur activité syndicale que si un accord d entreprise a été conclu, accord qui devra très précisément décrire les modalités de cette utilisation (fonctionnalités et limites de chacune de celles-ci le cas échéant, types de fichiers échangés, éventuelles limitations temporelles, prise en charge des coûts, validation a priori ou a posteriori des publications, responsabilité et surtout la problématique du consentement des salariés à recevoir des sollicitations syndicales). Par ailleurs, l accord conclu avec une organisation syndicale s appliquera à l identique à tous les syndicats qui ont constitué une section syndicale, quel que soit leur niveau de représentativité, et même si l accord précise le contraire, afin de respecter le principe d égalité (Cass. soc. 21 septembre 2011, n Jurisdata ). 31. Des informations confidentielles ou particulièrement protégées sont publiées sur le RSE et accessibles à un public plus large que «ceux qui en ont à en connaître». Quelles sont les problématiques juridiques applicables? 20